代理加盟 2019全新代理計劃 賺錢+省錢雙管齊下,獨立平臺,豐厚利潤!

您現在的位置: cf阿拉维斯如何钻bug > 織夢大學 > 織夢安全 >

西班牙人vs阿拉维斯首发:DedeCMS v5.7 注冊用戶任意文件刪除漏洞 member/inc/archives_check_edit.php

來源:未知 發布時間:2019-09-09熱度: ℃我要評論
dedecms前臺任意文件刪除(需要會員中心),發表文章處,對于編輯文章的時候圖片參數處理不當,導致了任意文件刪除。member/inc/archives_check_edit.php修復辦法。 ...

cf阿拉维斯如何钻bug www.rxtxrm.com.cn 織夢模板免費下載,無需注冊無需充值

dedecms前臺任意文件刪除(需要會員中心),發表文章處,對于編輯文章的時候圖片參數處理不當,導致了任意文件刪除。

修復方法:

打開 /member/inc/archives_check_edit.php

找到大概第92行的代碼:

$litpic =$oldlitpic;

修改為:

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

 

 

 

本文地址://www.rxtxrm.com.cn/dedecms_aq/1756.html

    發表評論

    評論列表(條)